授予数据库权限(同一帐户) - AWS Lake Formation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予数据库权限(同一帐户)

您可以授予 Data Catalog 数据库权限,方法是使用 AWS Lake Formation 控制台、API或 AWS Command Line Interface (人AWS CLI)。

授予数据库权限(控制台、同一帐户)

  1. 打开 AWS Lake Formation 控制台位于 https://console.amazonaws.cn/lakeformation/、和以数据湖管理员或数据库创建者身份登录。

    数据库创建者是已被授予创建数据库的权限的主体。

  2. 执行下列操作之一:

    • 在导航窗格中,选择 数据权限. 然后选择 授予.

    • 在导航窗格中,选择 Databases (数据库)。然后,在 数据库 页面,选择一个数据库,并在 操作 菜单,低于 权限,选择 授予.

    注意

    您可以通过其资源链接授予对数据库的权限。为此,在 数据库 页面,选择资源链接,并在 操作 菜单,选择 对目标授予. 要授予资源链接本身的权限,请参阅 授予资源链接权限.

  3. 授予权限 对话框,确保 我的帐户 平铺被选中。然后提供以下信息:

    • 对于 IAM用户和角色,请选择一个或多个主体。

    • 对于 SAML和亚马逊 QuickSight 用户和组,输入一个或多个Amazon资源名称(ARN) users or groups federated through SAML 或 ARNs 为 Amazon QuickSight 用户或组。

      一次输入一个ARN,然后按 输入 之后。有关如何构建 ARNs,请参阅 Lake Formation 授予和撤销 AWS CLI 命令.

      注意

      Lake Formation 与集成 Amazon QuickSight 支持 Amazon QuickSight 仅限EnterpriseEdition。

    • 如果 数据库 字段,请选择要在上授予权限的数据库。

    • 对于 数据库权限,选择要授予的权限。

    • (可选)适用于 授予权限,选择您希望主体能够授予他人的权限。

    
                在授予权限对话框中,用户datalake_user和数据库retail被选中。CREATE_TABLE和ALTER权限正在被授予。
  4. 选择 授予.

注意

授予 CREATE_TABLEALTER 上 数据库 即 具有位置属性 指向一个注册位置,请确保也向principal授予该位置的数据位置权限。有关更多信息,请参阅授予数据位置权限

授予数据库权限(AWS CLI,同一账户)

  • 运行 grant-permissions 命令,指定元数据数据库或 Data Catalog 作为资源,具体取决于授予的权限。

    在以下示例中,请更换 <account-id> 有效 AWS 帐户ID。

    此示例授予 CREATE_DATABASE 到用户 datalake_user1。因为授予此权限的资源是 Data Catalog,命令指定了一个空 CatalogResource 结构作为 resource 参数。

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "CREATE_DATABASE" --resource '{ "Catalog": {}}' --profile datalake_admin

    profile 选项表示该命令应作为用户运行 datalake_admin。这假设 configcredentials 请求者的文件中的文件 ~/.aws 目录包含用户的配置文件 datalake_admin。有关更多信息,请参阅 AWSCLI配置变量AWS CLI Command Reference.

    下一个示例授予 CREATE_TABLE 在数据库中 retail 到用户 datalake_user1.

    aws lakeformation grant-permissions --principal DataLakePrincipalIdentifier=arn:aws:iam::<account-id>:user/datalake_user1 --permissions "CREATE_TABLE" --resource '{ "Database": {"Name":"retail"}}' --profile datalake_admin

    有关更多示例,请参阅 Lake Formation 权限参考

注意

授予 CREATE_TABLEALTER 在具有指向已注册位置的位置属性的数据库上,请确保还向主体授予该位置的数据位置权限。有关更多信息,请参阅授予数据位置权限